Evaluación de vulnerabilidad

Definición: ¿Qué significa Evaluación de vulnerabilidad?

Una evaluación de vulnerabilidades es un proceso de gestión de riesgos que se utiliza para identificar, cuantificar y clasificar las posibles vulnerabilidades a las amenazas en un sistema determinado. No está aislado en un solo campo y se aplica a sistemas en diferentes industrias, como:

  • sistemas de TI
  • Energía y otros sistemas de servicios públicos
  • Transportación
  • Sistemas de comunicación

El componente clave de una evaluación de vulnerabilidad es la definición adecuada de la calificación de pérdida por impacto y la vulnerabilidad del sistema a esa amenaza específica. La pérdida por impacto varía según el sistema. Por ejemplo, una torre de control de tráfico aéreo evaluada puede considerar unos minutos de inactividad como una pérdida por impacto grave, mientras que para una oficina del gobierno local, esos pocos minutos de pérdida por impacto pueden ser insignificantes.

Techinfo explica la evaluación de vulnerabilidades

Las evaluaciones de vulnerabilidad están diseñadas para producir una lista clasificada o priorizada de las vulnerabilidades de un sistema para varios tipos de amenazas. Las organizaciones que utilizan estas evaluaciones son conscientes de los riesgos de seguridad y comprenden que necesitan ayuda para identificar y priorizar problemas potenciales. Al comprender sus vulnerabilidades, una organización puede formular soluciones y parches para esas vulnerabilidades para incorporarlas a su sistema de gestión de riesgos.

La perspectiva de una vulnerabilidad puede diferir, según el sistema evaluado. Por ejemplo, un sistema de servicios públicos, como la energía y el agua, puede priorizar las vulnerabilidades a elementos que podrían interrumpir los servicios o dañar las instalaciones, como calamidades, alteraciones y ataques terroristas. Sin embargo, un sistema de información (SI), como un sitio web con bases de datos, puede requerir una evaluación de su vulnerabilidad a los piratas informáticos y otras formas de ciberataque. Por otro lado, un centro de datos puede requerir una evaluación de las vulnerabilidades físicas y virtuales porque requiere seguridad para sus instalaciones físicas y presencia cibernética.